微信的一个不完全算bug的bug

恩人叔:
直接提取了文本。B就谨慎多了，以前可以通过【】方括号输入表情，现在也禁止了。明明没买的表情根本显示不了。

【回复】复制了个没有的装扮表情 【珈乐Carol_OK】
【回复】复制了个有的装扮表情 [珈乐Carol_OK]
【回复】我好烦阿B的大数据推荐[捂脸]
账号已注销:
就是业务逻辑不同，微信做了输入过滤，b站直接输入端判定。虽然业务上更好是做html转义，比方程序员想发送代码信息，但可能微信宁杀错不放过，直接过滤了

【回复】并不是，微信只是做了转译，如果你把herf的内容换成一个域名你发送之后是可以点开的。而且对方收到的还是html，只不过herf被过滤了，并似乎只有a标签才有这种情况
【回复】微信根本就没过滤，直接可以使用html代码，像是公众号让你点某个链接，就是通过html标签实现的
【回复】回复 @诺伊尔712 :会被抓包的，抓完包，写一个代理器做转发还是可以获取表情。相比之下，服务器处理可以确保万无一失
咩丶雪老师:
用户不按照正常计划使用程序，测试乐开了花，需求分析心理mmp，程序员头痛又要加班了[嫌弃]

【回复】去酒吧要了一份<a href="javascript∶alert('订购失败');">炒面[doge]</a>
【回复】回复 @深水の河豚 :去酒吧要一份<a href="javascript.alert('着火预订');">请问厕所在哪里？</a>
FLyou_:
因为微信公众号常常需要超链接，所以有这个标签，填上地址可跳转的

【回复】回复 @延迟菌 :可以，我刚刚试过了<a href="https://www.baidu.com/">bd</a>会变蓝
【回复】回复 @XiJet小军 :不在服务器里，只能自己看到[笑哭]
HannahTelle:
<a href=”javascript:alert('清除成功');">清楚缓存</a>

【回复】回复 @按摩爱好者 :不敲错发不出来啊
【回复】回复 @按摩爱好者 :要是敲对的话，根本发不出来
【回复】第一个引号敲错了[辣眼睛]
myhyh000:
应该转义发出去才符合预期，直接删掉也太懒了

初音拌豆腐:
QQ发HTML，你试试换标题子，你会发现输入框内容不要发出，退出聊天重新进入内容就会变成大码字，然而发出消息都是一样的

【回复】这个应该是退出重新进入但是输入框依旧保存着上次输入的内容二次渲染导致的
【回复】回复 @李一笑吖 :分析合理
安全社:
防xss的呀，微信直接给你转义替换了，b站估计是被waf拦了直接发包失败

【回复】原来b站是可以发的，只对本机和部分手机浏览器有效，在服务器那边会转义。但是我发现它转义后部分手机浏览器还是会识别为html代码被注入我就去反馈了一下，然后现在就不行了。顺带一提，当时我注入的是img标签
昨日無事:
为了防止注入，一般都会屏蔽掉类似标签，即使你发出去也会被转义，除了各种软件，基本上你能看到的所有窗口和富文本编辑器都会如此

一只辰叶:
<a href="我喜欢你，可以做我女朋友吗">哈哈哈哈哈</a>

【回复】<button onclick＝function sayNo (){ setTimeout(()＝>alert("he，tui～"),3000) }> 你猜？ <button/>
【回复】<a href="我喜欢你，可以做我女朋友吗">哈哈哈哈哈</a>
【回复】<a href="我喜欢你，可以做我女朋友吗">哈哈哈哈哈</a>
剧毒的KCN:
<a href=”http://www.bilibili.com">超链接</a>